Archiv für den Monat: Juli 2015

Java-Sicherheit und die RA-Oberfläche der DFN-PKI

Die RA-Oberfläche der DFN-PKI ist als Java WebStart Anwendung programmiert. Dadurch steht ein plattformübergreifendes Werkzeug zum Bearbeiten und Genehmigen von Zertifikatanträgen zur Verfügung.

Die ebenfalls noch existierende Web-Schnittstelle für den Teilnehmerservice kann inzwischen nicht mehr ohne weitere Add-ons zum Genehmigen von Anträgen verwendet werden, da Mozilla bestimmte JavaScript-Funktionalität (crypto.signText) aus dem Firefox entfernt hat. (Siehe auch Update: Firefox und die Web-RA-Oberfläche der DFN-PKI)

Java ist bekanntermaßen nicht unproblematisch. In den letzten Jahren wurden viele Schwachstellen entdeckt, die ein Aufbrechen des Java Sicherheitsmodells erlauben. Leider werden bei einer Java-Installation automatisch auch immer Browser-Plugins mit installiert. Über diese Browser-Plugins werden immer wieder Systeme beim bloßen Surfen im Web durch die automatische Ausführung von Java-Code mit Schadsoftware infiziert.

Aber: Zum Ausführen der RA-Oberfläche der DFN-PKI wird kein Browser-Plugin benötigt, so dass diese Sicherheitslücke nicht offen stehen muss.

Die RA-Oberfläche wird direkt ohne Plugin über einen Aufruf von https://pki.pca.dfn.de/guira/guira.jnlp durch Java WebStart gestartet. Entweder über die Adresszeile des Browsers mit einer Dateinamen-Verknüpfung .jnlp->Java WebStart, oder über die Kommandozeile:

javaws https://pki.pca.dfn.de/guira/guira.jnlp

Sie können daher, wenn Sie Java allein für die DFN-PKI verwenden, ohne Bedenken die Java-Plugins in Ihren Browsern deaktivieren oder so konfigurieren, dass Sie vor der Ausführung von Java Applets eine Bestätigung geben müssen.

Unter Firefox rufen Sie zur Konfiguration about:addons auf, und setzen das Java Plugin auf „Nachfragen, ob aktiviert werden soll“ oder „Nie aktivieren“.

firefoxaddons

Im Internet Explorer wählen Sie „Add-ons verwalten“ aus dem Extras-Menü:

internetexploreraddons

Unter Google Chrome finden Sie ähnliche Einstellungsmöglichkeiten unter chrome://plugins/.

(jbr, 13.07.2015)